nginx を使用して Signed HTTP Exchange(SXG)を設定する方法

SXG 拡張機能を使用して TLS 証明書を生成し、SXG ファイルを生成するためのツールをインストールして、SXG ファイルを提供するように nginx を構成する方法について説明します。

Hiroki Kumazaki
Hiroki Kumazaki
X GitHub

Signed HTTP Exchange(SXG)は、ユーザーがコンテンツ作成者とコンテンツ配信会社を簡単に区別できるようにする新しいウェブ テクノロジーです。このガイドでは、SXG の設定方法について説明します。

ブラウザ間のサポート

SXG をサポートする Chromium ベースのブラウザ(Google Chrome、Samsung など) インターネット、Microsoft Edge です。詳細は、 送信元署名付き HTTP エクスチェンジ をご覧ください。

前提条件

ウェブサイトに SXG を実装するには、次のことを行う必要があります。

  • DNS エントリを含むドメインを管理します。
  • 証明書を取得します。SXG では専用の証明書の発行が必要です。特に、TLS 鍵や証明書は再利用できません。
  • HTTPS 経由で SXG を生成して提供できる HTTP サーバーがある。

前提条件

このガイドは、以下を前提とした内容です。

  • OpenSSL 1.1.1 環境がある。このガイドは、amd64 ISA 上の Ubuntu 18.04 LTS を使用して作成されています。
  • sudo を実行して実行可能ファイルをインストールする権限。
  • HTTP サーバーとして nginx を使用します。
  • DigiCert を使用して SXG 関連の拡張機能を含む証明書を生成している

また、この記事のコマンドの例では、ドメインが website.test であると仮定しているため、website.test を実際のドメインに置き換える必要があります。

ステップ 1: SXG の証明書を取得する

SXG を生成するには、CanSignHttpExchanges 拡張機能を持つ TLS 証明書と特定の鍵タイプが必要です。 DigiCert では、この拡張機能で証明書を提供しています。 証明書の発行には CSR ファイルが必要であるため、次のコマンドを使用して CSR ファイルを生成します。

openssl ecparam -genkey -name prime256v1 -out mySxg.key
openssl req -new -key mySxg.key -nodes -out mySxg.csr -subj "/O=Test/C=US/CN=website.test"

次のような CSR ファイルが表示されます。

-----BEGIN CERTIFICATE REQUEST-----
MIHuMIGVAgEAMDMxDTALBgNVBAoMBFRlc3QxCzAJBgNVBAYTAlVTMRUwEwYDVQQD
DAx3ZWJzaXRlLnRlc3QwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAAS7IVaeMvid
S5UO7BspzSe5eqT5Qk6X6dCggUiV/vyqQaFDjA/ALyTofgXpbCaksorPaDhdA+f9
APdHWkTbbdv1oAAwCgYIKoZIzj0EAwIDSAAwRQIhAIb7n7Kcc6Y6pU3vFr8SDNkB
kEadlVKNA24SVZ/hn3fjAiAS2tWXhYdJX6xjf2+DL/smB36MKbXg7VWy0K1tWmFi
Sg==
-----END CERTIFICATE REQUEST-----

次の点をご確認ください。

  • 有効期間は 90 日以内です。
  • [証明書に CanSignHttpExchanges 拡張機能を含める] チェックボックスがオンになっている。 [その他の証明書オプション] にあります。
で確認できます。 <ph type="x-smartling-placeholder">
</ph> <ph type="x-smartling-placeholder">
</ph> [証明書に CanSignHttpExchanges 拡張機能を含める] チェックボックスをオンにします。

証明書がこれらの条件に一致しない場合、セキュリティ上の理由からブラウザとディストリビューターによって SXG が拒否されます。 このガイドでは、DigiCert から取得した証明書のファイル名が mySxg.pem であることを前提としています。

ステップ 2: libsxg をインストールする

SXG 形式は複雑で、ツールを使用せずに生成するのは困難です。 SXG を生成するには、次のいずれかのオプションを使用できます。

このガイドでは libsxg を使用します。

オプション 1: Debian パッケージから libsxg をインストールする

OpenSSL(libssl-dev)バージョンが一致していれば、通常の Debian の方法でパッケージをインストールできます。

sudo apt install -y libssl-dev
wget https://github.com/google/libsxg/releases/download/v0.2/libsxg0_0.2-1_amd64.deb
wget https://github.com/google/libsxg/releases/download/v0.2/libsxg-dev_0.2-1_amd64.deb
sudo dpkg -i libsxg0_0.2-1_amd64.deb
sudo dpkg -i libsxg-dev_0.2-1_amd64.deb

オプション 2: libsxg を手動でビルドする

.deb ファイルと互換性のある環境を使用していない場合は、libsxg を自分でビルドできます。 前提条件として、gitcmakeopensslgcc をインストールする必要があります。

git clone https://github.com/google/libsxg
mkdir libsxg/build
cd libsxg/build
cmake .. -DRUN_TEST=false -DCMAKE_BUILD_TYPE=Release
make
sudo make install

ステップ 3: nginx プラグインをインストールする

nginx プラグインを使用すると、SXG をサービング前に静的に生成する代わりに、動的に生成できます。

オプション 1: Debian パッケージからプラグインをインストールする

nginx の SXG モジュールは GitHub で配布されています。 Debian ベースのシステムでは、バイナリ パッケージとしてインストールできます。

sudo apt install -y nginx=1.15.9-0
wget https://github.com/google/nginx-sxg-module/releases/download/v0.1/libnginx-mod-http-sxg-filter_1.15.9-0ubuntu1.1_amd64.deb
sudo dpkg -i libnginx-mod-http-sxg-filter_1.15.9-0ubuntu1.1_amd64.deb

オプション 2: プラグインを手動でビルドする

nginx モジュールをビルドするには、nginx ソースコードが必要です。 次のコマンドを使用して、tarball を取得し、SXG 動的モジュールとともにビルドできます。

git clone https://github.com/google/nginx-sxg-module
wget https://nginx.org/download/nginx-1.17.5.tar.gz
tar xvf nginx-1.17.5.tar.gz
cd nginx-1.17.5
./configure --prefix=/opt/nginx --add-dynamic-module=../nginx-sxg-module --without-http_rewrite_module --with-http_ssl_module
make
sudo make install

nginx 構成は柔軟性に優れています。 システムの任意の場所に nginx をインストールし、それぞれのパスとして module/config/log/pidfile を指定します。 このガイドでは、/opt/nginx にインストールすることを前提としています。

ステップ 4: SXG と連携するように nginx プラグインを設定する

オプション 1: Debian からインストールされた nginx モジュールを構成する

以前にステップ 3、オプション 1 を使用した場合は、次の手順を行います。

SXG コンテンツを配信するには HTTPS が必要です。SSL/TLS 証明書は、DigiCert や Let's Encrypt などのサービスから取得できます。SXG 証明書を SSL に使用することはできません(その逆も同様)。そのため、2 つの証明書が必要になります。SSL 鍵と証明書のペアを /path/to/ssl/ に、SXG の鍵と証明書のペアを /path/to/sxg/ に配置した場合、/etc/nginx/nginx.conf の構成ファイルは次のようになります。

user www-data;
include /etc/nginx/modules-enabled/*.conf;

events {
     worker_connections 768;
}

http {
    include       mime.types;
    default_type  application/octet-stream;
    add_header  X-Content-Type-Options nosniff;

    server {
        listen 443 ssl;
        ssl_certificate     /path/to/ssl/fullchain.pem;
        ssl_certificate_key /path/to/ssl/privkey.pem;
        server_name  website.test;

        sxg on;
        sxg_certificate     /path/to/sxg/mySxg.pem;
        sxg_certificate_key /path/to/sxg/mySxg.key;
        sxg_cert_url        https://website.test/certs/cert.cbor;
        sxg_validity_url    https://website.test/validity/resource.msg;
        sxg_cert_path       /certs/cert.cbor;

        root /var/www/html;
    }
}
  • sxg_cert_url は証明書チェーンを特定するため、ブラウザで SXG を正しく読み込むために不可欠です。証明書チェーンには、cbor 形式の証明書と OCSP ステープリング情報が含まれています。cert.cbor ファイルを同じ生成元から提供する必要はありません。HTTPS をサポートしている限り、CDN または他の静的ファイル配信サービスから配信できます。
  • sxg_validitiy_url は SXG-signature-header 関連情報を提供する予定です。ページが前回の SXG から変更されていない場合、SXG ファイル全体をダウンロードする必要はありません。そのため、署名ヘッダー情報を更新するだけでネットワーク トラフィックを削減できると予想されます。詳細はまだ実装されていません。

nginx を開始すると、SXG を提供する準備が整います。

sudo systemctl start nginx.service
curl -H"Accept: application/signed-exchange;v=b3" https://website.test/ > index.html.sxg
cat index.html.sxg
sxg1-b3...https://website.test/...(omit)

オプション 2: ソースからビルドされた nginx モジュールを構成する

以前にステップ 3、オプション 2 を使用した場合は、次の手順を行います。

/opt/nginx にインストールされている nginx システムを次の例のように構成します。

load_module "/opt/nginx/modules/ngx_http_sxg_filter_module.so";

events {
    worker_connections 768;
}

http {
    include       mime.types;
    default_type  application/octet-stream;
    add_header X-Content-Type-Options nosniff;

    server {
        listen 443 ssl;
        ssl_certificate     /path/to/ssl/fullchain.pem;
        ssl_certificate_key /path/to/ssl/privkey.pem;
        server_name  example.com;

        sxg on;
        sxg_certificate     /path/to/sxg/mySxg.pem;
        sxg_certificate_key /path/to/sxg/mySxg.key;
        sxg_cert_url        https://website.test/certs/cert.cbor;
        sxg_validity_url    https://website.test/validity/resource.msg;
        sxg_cert_path       /certs/cert.cbor;

        root /opt/nginx/html;
    }
}

次に、nginx を開始します。SXG をゲットできるようになりました!

cd /opt/nginx/sbin
sudo ./nginx
curl -H "Accept: application/signed-exchange;v=b3" https://website.test/ > index.html.sxg
less index.html.sxg
sxg1-b3...https://website.test/...(omit)

ステップ 5: アプリケーション バックエンドを提供する

上記の例では、nginx がルート ディレクトリで静的ファイルを提供しますが、アプリケーションのアップストリーム ディレクティブを使用して、nginx がフロント HTTP(S) サーバーとして機能する限り、任意のウェブ アプリケーション バックエンド(Ruby on Rails、Django、Express など)用の SXG を作成できます。

upstream app {
    server 127.0.0.1:8080;
}

server {
    location / {
        proxy_pass http://app;
    }
}

ステップ 6: テスト

dump-signedexchange ツールを使用する 配信されている SXG が正しいこと、エラーが報告されていないこと、ヘッダーが 示されています

go get -u github.com/WICG/webpackage/go/signedexchange/cmd/dump-signedexchange
export PATH=$PATH:~/go/bin
dump-signedexchange -verify -uri https://website.test/ | less

フィードバックを送信

SXG に取り組んでいる Chromium エンジニアは、webpackage-dev@chromium.org にフィードバックをお寄せください。 仕様に関するディスカッションに参加したり、チームにバグを報告したりすることもできます。 お寄せいただいたフィードバックは、標準化プロセスや実装に関する問題の解決に大いに役立ちます。 ありがとうございました